martes, 8 de enero de 2013

La nueva Propuesta de Reglamento General de Protección de Datos de la Unión Europea


Resumen: Análisis de lo más importante o novedoso en relación a la propuesta de la Comisión Europea para regular la protección de datos personales en la Unión Europea en las próximas décadas.

 





Autor del artículo

Colaboración

EMILIO ACED FÉLEZ


Actualizado

 

9 de Enero de 2013

 



ÍNDICE

1. INTRODUCCIÓN
2. ANÁLISIS DE LO MÁS IMPORTANTE O NOVEDOSO
2.1. El instrumento jurídico elegido
2.2. Ámbito de aplicación
2.3. Menores de edad
2.4. Transparencia y lealtad de los tratamientos
2.5. Derecho al olvido
2.6. Derecho a la portabilidad de los datos
2.7. Diligencia debida y rendición de cuentas
2.8. Protección de datos desde el diseño
2.9. Obligatoriedad de notificar violaciones de seguridad
2.10. TID (Transferencias Internacionales de Datos)
2.11. Consejo Europeo de Protección de Datos
3. CONCLUSIONES
4. BIBLIOGRAFIA CONSULTADA
5. DERECHOS DE AUTOR

1. INTRODUCCIÓN

En el mes de enero de 2012, después de varios años de consultas y estudios preliminares, la Comisión Europea hizo pública su propuesta (1) para regular la protección de datos personales en la Unión Europea en las próximas décadas.

Los motivos para este movimiento regulatorio eran de índole variada. Abarcaban desde el impacto que las nuevas tecnologías de la información y las comunicaciones aparecidas en los últimos años han tenido en la privacidad hasta la necesidad de minimizar las diferencias entre las legislaciones de los distintos países europeos en este campo y, así, evitar trabas a la libre circulación de los datos personales dentro de las propias fronteras de la Unión.

También se pretendía la mejora de las normas sobre transferencias internacionales para hacer frente a los retos de la globalización, una definición clara de las obligaciones de los responsables de los tratamientos de datos personales y el refuerzo del papel y los poderes de las autoridades independientes de protección de datos. Y, por supuesto, como objeto esencial y primario, la mejor defensa de los derechos fundamentales de las personas en lo que se refiere al tratamiento de sus datos personales.

Además, las previsiones del Tratado de Lisboa (2), que entró en vigor el 1 de diciembre de 2009, además de reconocer la protección de datos personales como un derecho fundamental de los ciudadanos europeos y de dotar de carácter vinculante a la Carta de Derechos Fundamentales de la Unión Europea (3) -que ya recogía este derecho desde el año 2000- disponía que el legislador europeo establecería las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal y, por ello, la Propuesta de la Comisión Europea es también una respuesta a este mandato de los tratados.

Sentados cuales serían los objetivos y razones más importantes que han motivado la puesta en marcha del proceso legislativo para dotar a Europa de un nuevo marco normativo en la esfera de la protección de datos personales, en las próximas páginas se analizarán brevemente los elementos más relevantes o novedosos de la propuesta de la Comisión Europea aunque, en cualquier caso, se recomienda encarecidamente su lectura integral por la riqueza de su contenido y el interés de sus disposiciones.



2. ANÁLISIS DE LO MÁS IMPORTANTE O NOVEDOSO

2.1. El instrumento jurídico elegido

En primer lugar hay que hacer una rápida mención al instrumento jurídico elegido y sus implicaciones en el proceso de implantación de la norma. En efecto, la Comisión Europea ha decidido que su propuesta se basaría en un reglamento y no en una directiva como la existente actualmente -Directiva 95/46/CE (4)- ya que lo ha juzgado un medio más idóneo para conseguir los objetivos de armonización que se ha propuesto. La razón es que un reglamento es una norma de aplicación directa a los Estados miembros sin posibilidad de que estos lleven a cabo ninguna modificación de la misma. Al mismo tiempo, tampoco requiere de ningún proceso de transposición al derecho nacional -como ocurre con las directivas- lo que evita que los legisladores nacionales se desvíen del texto que en su día aprueben el Parlamento Europeo y el Consejo de la Unión Europea.

En cuanto al objeto de la Propuesta, éste no difiere en lo esencial del que establece la actual Directiva. Se trata de proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la privacidad, cuando se tratan sus datos personales y, al mismo tiempo, garantizar la libre circulación de dichos datos personales dentro de las fronteras de la Unión.


2.2. Ámbito de aplicación

Por lo que respecta al ámbito de aplicación territorial, la Propuesta sí introduce cambios muy significativos respecto del régimen actual de la Directiva. En concreto, además de reafirmar que se aplica a los datos tratados, en el marco de sus actividades, por responsables o encargados de tratamiento establecidos en la Unión Europea o en aquellos lugares fuera de la UE en el que sea de aplicación la legislación de un Estado miembro (por ejemplo, una embajada), establece que la norma también podrá aplicarse al tratamiento de datos de personas que residan en la Unión aunque el responsable del tratamiento no esté establecido en la misma si las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión o el control de su conducta.

Este último apartado tiene consecuencias muy importantes ya que significaría la aplicación de la norma europea a organizaciones que no están establecidas en territorio europeo pero que tienen clientes u ofertan sus servicios a personas que sí residen en Europa o, simplemente, realizan cualquier tipo de seguimiento de las conducta del usuario europeo, por ejemplo, instalando en su disco duro tracking cookies para monitorizar la navegación del mismo con el objetivo de construir un perfil que responda a sus gustos, necesidades y aficiones para personalizar las acciones publicitarias dirigidas a él.


2.3. Menores de edad

También es interesante que, por primera vez en una norma europea sobre privacidad, se dedique un apartado específico a la protección de datos de los menores de edad (niños, en la definición que hace la propuesta, refiriéndose a los menores de dieciocho años). En concreto, se establece que en el caso de oferta directa de servicios de la sociedad de la información a los niños, el tratamiento de los datos personales de aquellos menores de trece años requerirá el consentimiento del padre o tutor del niño que deberá ser verificable en función de la tecnología disponible.


2.4. Transparencia y lealtad de los tratamientos

Asimismo, en relación con la transparencia y lealtad de los tratamientos, la Propuesta hace un especial hincapié en que cualquier información que se deba facilitar a los interesados se haga en forma inteligible y utilizando un lenguaje claro, sencillo y adaptado a los mismos y, de forma muy especial, cuando dicha información se dirija específicamente a los niños.


2.5. Derecho al olvido

Otro aspecto muy relevante y que sin duda es el que más tinta ha hecho correr tanto entre sus defensores como entre sus detractores es el llamado “derecho al olvido”. En realidad no se trata de ningún concepto novedoso u original sino de una formulación adaptada al mundo de las redes globales de comunicaciones del tradicional derecho de cancelación de los datos personales.

Del análisis de la Propuesta se deduce claramente que, como se acaba de mencionar, estamos en presencia de una evolución del derecho de cancelación pues el “derecho al olvido” se define como el derecho del interesado a que el responsable del tratamiento suprima los datos personales que le conciernen y se abstenga de darles más difusión, especialmente en lo que respecta a los datos personales proporcionados por el interesado siendo niño (y, aquí, de nuevo, se tiene en consideración de una manera especial a los menores) cuando los mismos ya no son necesarios para los fines para los que fueron recogidos, el interesado retira el consentimiento o se opone legítimamente a su tratamiento o dicho tratamiento vulnera la regulación sobre privacidad.

La novedad reside en que, a continuación, la Propuesta indica que si los datos se han hecho públicos (pensando, fundamentalmente, en su difusión a través de Internet) el responsable de dicha publicación, además de suprimirlos de sus propios sistemas, adoptará todas las medidas razonables, incluidas las de carácter técnico, para informar a los terceros que estén tratando dichos datos de que deben suprimir cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

Además, si el responsable del tratamiento ha autorizado a un tercero a publicar datos personales, será considerado responsable de esa publicación y, por lo tanto, de la falta de diligencia que los terceros puedan tener a la hora de retirar la información solicitada.

No obstante, el derecho al olvido tiene salvedades ya que no procederá si la permanencia de los datos es necesaria para el ejercicio del derecho a la libertad de expresión, por motivos de interés público en el ámbito de la salud pública, con fines de investigación histórica, estadística y científica o para el cumplimiento de una obligación legal de conservar los datos personales.

En lugar de suprimir la información, el responsable limitará el acceso y el tratamiento de la misma (lo que se conoce como bloqueo de los datos personales) cuando el interesado impugne su exactitud (manteniéndolos durante un plazo que permita verificarla), cuando deban conservarse a efectos probatorios, cuando el tratamiento sea ilícito y el interesado se oponga a su supresión y solicite en su lugar la limitación de su uso o cuando el interesado solicite la transmisión de los datos personales a otro sistema de tratamiento automatizado.

Finalmente, la Propuesta obliga a que el responsable ponga en marcha mecanismos adecuados que garanticen, primero, la fijación de los plazos de conservación de la información y, segundo, los mecanismos necesarios para asegurar que se respetan los plazos fijados para la supresión de datos personales o, en su caso, la evaluación periódica de la necesidad de conservar los datos (recientemente –noviembre de 2012- ENISA, la Agencia Europea de Seguridad de las Redes y la Información, ha publicado un estudio sobre los aspectos prácticos de la implantación del derecho al olvido: The right to be forgotten – between expectations and practice) (5).


2.6. Derecho a la portabilidad de los datos

Otra importante novedad es la que se refiere al derecho a la portabilidad de datos: la Propuesta afirma el derecho del interesado a obtener copia de sus datos en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.

Del mismo modo, si el tratamiento de los datos suministrados por el interesado se lleva a cabo basado en el consentimiento o en un contrato, éste tendrá derecho a transmitir dichos datos y cualquier otra información que haya facilitado al sistema de otro proveedor de servicios sin ningún impedimento. Esta transmisión se efectuará en un formato electrónico comúnmente utilizado que permita su fácil integración en el nuevo sistema.

Se trata, pues, de garantizar la libre elección de proveedor de servicios electrónicos y de evitar la dependencia de los usuarios de un único proveedor que utilice sistemas propietarios de tratamiento de la información.


2.7. Diligencia debida y rendición de cuentas

Igualmente, se procede al fortalecimiento de la obligación de diligencia debida y de rendición de cuentas de los responsables de tratamiento (accountability) con medidas tales como la introducción de la obligatoriedad de documentar adecuadamente las operaciones de tratamiento de datos personales o la de nombrar un encargado de protección de datos independiente DPO (Data Protection Officer) en las Administraciones Públicas, en las empresas de más de doscientos cincuenta trabajadores o en las que, aún no alcanzando este número de trabajadores, su actividad principal esté vinculada al tratamiento de datos de carácter personal.

También se introduce la obligación de llevar a cabo una Evaluación de Impacto relativa a la Protección de Datos (conocida internacionalmente por el término inglés PIA o Privacy Impact Assessment) cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines.

El contenido mínimo de esta evaluación incluirá una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a dichos riesgos y las garantías, medidas de seguridad y mecanismos destinados a salvaguardar la protección de datos personales y a probar la conformidad con la legislación de protección de datos.

Si la evaluación de impacto indica que es probable que el tratamiento de datos personales de que se trate entrañe un elevado nivel de riesgos específicos para los derechos y libertades de los interesados, será obligatorio consultar a la autoridad de control independiente competente en materia de protección de datos para garantizar la conformidad del mismo con la normativa de protección de datos y atenuar los riesgos detectados.

La autoridad de control de protección de datos también podrá determinar la obligatoriedad de que se proceda a consultarla previamente en aquellas operaciones que considere potencialmente peligrosas para la privacidad de las personas y, para ello, establecerá y hará pública una lista detallando los tratamientos de datos personales sometidos a este control previo.


2.8. Protección de datos desde el diseño

La Propuesta introduce también los conceptos de protección de datos desde el diseño y por defecto, exigiendo del responsable que implante, desde los primeros momentos de concepción y diseño de un nuevo sistema de información, las medidas y procedimientos técnicos y organizativos apropiados para garantizar su conformidad con la normativa de protección de datos y, así, garantizar los derechos y libertades de las personas cuyos datos serán tratados.

Igualmente, se deberá garantizar que, por defecto, solo se traten los datos personales estrictamente imprescindibles para la finalidad o finalidades legítimas del tratamiento y que no se conserven más allá del tiempo mínimo necesario para conseguir dichas finalidades y, en particular, se garantizará que, también por defecto, los datos personales no sean accesibles a un número indeterminado de personas.


2.9. Obligatoriedad de notificar violaciones de seguridad

En el apartado de medidas de seguridad, la novedad más llamativa de la propuesta –aparte de la obligatoriedad de lleva a cabo un análisis de riesgos de seguridad para determinar las medidas que se deben de implantar- tiene que ver con la obligatoriedad de notificar las violaciones de la seguridad de los datos personales a la autoridad de control en un plazo máximo de veinticuatro horas desde que se tiene conocimiento de las mismas.

También será forzoso notificarlas a los interesados afectados por las mismas salvo que el responsable del tratamiento demuestre de manera satisfactoria para la autoridad de control que había implantado medidas de seguridad que hacían ininteligibles los datos (generalmente mediante un mecanismo de cifrado lo suficientemente robusto) para cualquier persona no autorizada a acceder a ellos. No obstante, la autoridad de control podrá exigir en cualquier momento la notificación a los interesados si lo considera necesario para minimizar o paliar los probables efectos negativos de la violación de seguridad ocurrida.


2.10. TID (Transferencias Internacionales de Datos)

En cuanto a las transferencias internacionales de datos, no se introducen grandes novedades conceptuales pero se flexibiliza el régimen de autorizaciones y, además, se introducen mecanismos para armonizar las decisiones de las distintas autoridades de control cuando las transferencias afecten a responsables establecidos en varios Estados miembros.


2.11. Consejo Europeo de Protección de Datos

Finalmente, hay que resaltar el reforzamiento del marco institucional para una mejor aplicación de las normas de protección de datos y de los poderes de las autoridades de control independientes, en particular, mediante la creación del Consejo Europeo de Protección de Datos que las agrupará y tendrá poderes de armonización a través del mecanismo de coherencia.


3. CONCLUSIONES

Así pues, como conclusión de este apresurado repaso a un denso y extenso proyecto de norma europea de protección de datos, hay que señalar que se trata de una propuesta muy ambiciosa, con vocación de establecer los principios esenciales de la protección de datos en la Unión Europea en las próximas décadas y que, caso de ser aprobada en su concepción actual y siguiendo las líneas esenciales de la misma, significará un gran paso en la armonización y consolidación del modelo europeo de protección de datos personales.

4. BIBLIOGRAFÍA CONSULTADA

- (1) PARLAMENTO EUROPEO Y CONSEJO. Bruselas 25 de Enero 2012. “Propuesta de Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)”.
PROPUESTA DE REGLAMENTO

- (2) Diario Oficial de la Unión Europea. 17 de Diciembre de 2007. “TRATADO DE LISBOA POR EL QUE SE MODIFICAN EL TRATADO DE LA UNIÓN EUROPEA Y EL TRATADO CONSTITUTIVO DE LA COMUNIDAD EUROPEA”. (2007/C 306/01).
TRATADO DE LISBOA

-  Diario Oficial de la Unión Europea. Luxemburgo, 30 de Marzo de 2010. “VERSIONES CONSOLIDADAS DEL TRATADO DE LA UNIÓN EUROPEA Y DEL TRATADO DE FUNCIONAMIENTO DE LA UNIÓN EUROPEA”. (2010/C 83/01).
VERSIONES CONSOLIDADAS


- (3) Diario Oficial de la Unión Europea. 30 de Marzo de 2010. “CARTA DE LOS DERECHOS FUNDAMENTALES DE LA UNIÓN EUROPEA”. (2010/C 83/02).
CARTA DE LOS DERECHOS FUNDAMENTALES

- (4) Diario Oficial de las Comunidades Europeas. 23 de Noviembre de 1995. “DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos”.
DIRECTIVA 95/46/CE

- (5) ENISA (European Network and Information Security Agency). 20 de Noviembre de 2012. “The right to be forgotten - between expectations and practice”.
EL DERECHO AL OLVIDO

- ARTICLE 29 DATA PROTECTION WORKING PARTY. 23 de Marzo de 2012. Opinion 01/2012 on the data protection reform proposals”. 00530/12/EN. WP 191.
OPINION WP191

- Peter Hustinx (European Data Protection Supervisor). Bruselas, 7 de Marzo de 2012. “Opinion of the uropean Data Protection Supervisor on the data protection reform package”.
OPINION EDP SUPERVISOR


5. DERECHOS DE AUTOR.

Imágenes bajo licencia 123RF internacional.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

       

Sobre el autor:



Emilio Aced Félez es Jefe de Área en la AEPD (Agencia Española de Protección de Datos). Ha trabajado profesionalmente en el campo de la protección de datos personales desde el año 1995 habiendo desempeñado puestos como Subdirector General de Registro de Ficheros y Consultoría y Subdirector de Inspección y Tutela de Derechos en la APDCM (Agencia de Protección de Datos de la Comunidad de Madrid) y Subdirector General de Inspección y Adjunto al Director en la AEPD.



Es Licenciado en Matemáticas (Sección de Ciencias de la Computación) por la Universidad Complutense de Madrid, Máster en Estadística e Investigación Operativa por la misma universidad y Máster en Dirección de Sistemas y Tecnologías de la Información por la Universidad Politécnica de Madrid.
NOTA DEL EDITOR: La primera publicación de éste artículo se ha producido en el número 3 de la Revista Latinoamericana de Protección de Datos Personales (www.rlpdp.com).




 


NOTA DEL EDITOR: (1) Para focalizar sobre la figura del DPO (Data Protection Officer) a la que hacen referencia los Artículos 35, 36 y 37 del borrador de Reglamento europeo, puede consultarse un artículo monográfico en éste mismo Blog:

(2) Para un análisis comparativo del borrador del Reglamento publicado el 25 de enero de 2012 por la Comisión Europea, de modo que permita conocer en detalle todos los aspectos regulados, el resultado de su comparación con la normativa española vigente, y el posible impacto que tendrá sobre las entidades públicas o privadas, puede también consultarse en este mismo Blog:





No hay comentarios:

Publicar un comentario